Кибермошенники FIN6 вернулись: хакеры атакуют POS-терминалы Европы

07.09.2018
Источник: PaySpace Magazine
Злоумышленники воруют данные платежных карт для последующей продажи на подпольных форумах

Специалисты подразделения IBM X-Force IRIS зафиксировали новую вредоносную кампанию, направленную на POS-терминалы в Европе, а также в США. Организатором атак является хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах.

Впервые о группировке стало известно в 2016 году, когда хакеры атаковали POS-терминалы ритейлеров и компаний в сфере здравоохранения. Злоумышленникам удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков. В ходе кампании преступники использовали бэкдор Grabnew для сбора учетных данных, ряд публично доступных инструментов, а также вредоносное ПО Trinity (оно же FrameworkPOS) для извлечения информации из памяти POS-терминалов. Затем данные сжимались в .ZIP архив и отправлялись на подконтрольный хакерам сервер.

В новой кампании участники FIN6 действуют аналогичным способом. Однако помимо Grabnew и Trinity, в атаках используются фреймворк Metasploit и программа WMIC (Windows Management Instrumentation Command) для «автоматизации удаленного выполнения скриптов и команд PowerShell».

По словам исследователей, применяемый хакерами инструментарий достаточно прост и доступен в интернете. Основной интерес представляет способность злоумышленников незаметно обходить средства защиты систем.

В настоящее время число предприятий и организаций, пострадавших от данной кампании, неизвестно.
  • CNY 69.61 -0.28%
  • EUR 540.29 -1.08%
  • RUB 6.11 +0.03%
  • USD 472.03 -2.44%
  • ADA 92.41 +8.42%
  • BNB 272660.46 +1.52%
  • BTC 29848110.9 +1.52%
  • DOGE 37.4 +2.87%
  • DOT 423.76 +1.45%
  • ETH 848450.71 +3.24%
  • SOL 38868.16 +0.48%
  • TRX 154.24 +1.76%
  • USDT 472.67 +0.01%
  • XRP 556.58 +4.49%